Die Cyber-Sicherheitsexpertin Lilith Wittmann hat erneut auf eindrucksvolle Weise bewiesen, dass die Sicherheitsstandards in der Datenverarbeitung höchst bedenklich sind. Schon wieder gelang es ihr, eine Bonitätsauskunft im Namen des ehemaligen Gesundheitsministers Jens Spahn zu erhalten. Besonders skandalös: Dieser Vorfall kommt nur wenige Monate nach der ersten Enthüllung im Sommer 2023, als sie über die Bonify-App die gleichen Informationen abrufen konnte.

Diesmal benutzte Wittmann ein Webportal der Itsmydata GmbH, das den Nutzern angeblich einen sicheren Zugriff auf Kreditauskünfte von renommierten Auskunfteien wie Creditreform Boniversum, Experian oder Schufa ermöglicht. "Ich hatte gerade einmal wieder Zugriff auf Jens Spahns Kreditauskunft von Boniversum und Experian. Sein Score ist sogar noch besser geworden. Glückwunsch", teilte sie auf Mastodon mit und untermauerte ihre Aussagen mit zwei Screenshots, die sowohl ein „persönliches Bonitätszertifikat“ als auch einen Einblick in das Itsmydata-Konto von Spahn zeigten.

Wittmann ließ jedoch aus Sicherheitsgründen Details zur ausgenutzten Schwachstelle zunächst weg. Auf Nachfragen von Golem.de erklärte sie, dass die Lücke im Grunde „die gleiche wie letztes Jahr bei Bonify“ sei, sie jedoch diesmal „noch einfacher auszunutzen“ war. Dieser Hinweis lässt aufhorchen und wirft Fragen über die Effizienz der Sicherheitsmaßnahmen auf, die bei diesen Diensten eingesetzt werden.

"Ich kann über einen Drittanbieter meine Daten nach Verifizierung meiner eigenen Daten ändern und für jede beliebige Person eine Kreditauskunft beantragen“, stellte die Forscherin auf X klar und machte damit die potenziellen Risiken für die Privatsphäre und den Datenschutz deutlich. In einem weiteren Beitrag forderte sie die Itsmydata GmbH auf, den betroffenen Dienst sofort abzuschalten.

Itsmydata behauptet, dass es seinen Nutzern einen sicheren Umgang mit Daten verspricht. Auf ihrer Webseite wird verkündet: „Bei Itsmydata kannst du kostenlos deine Daten sicher speichern. Sie sind einzelverschlüsselt und nur du kannst auf sie zugreifen.“ Dennoch scheinen diese Versprechungen in der Praxis nicht zu greifen, wenn man die jüngsten Vorfälle bedenkt.

"Jeder Einzelne soll die Kontrolle darüber haben, ob, was und wie mit seinen Daten umgegangen wird," versichert das Unternehmen – das Vertrauen in diese Sicherheit wurde jedoch durch die Enthüllungen von Wittmann schwer erschüttert.

Die Tatsache, dass sich das Bonitätszertifikat von Jens Spahn sogar auf der Webseite des Anbieters validieren lässt, lässt darauf schließen, dass die Kreditauskunftsdienste aus den vorhergehenden Skandalen nichts gelernt haben. Wittmann kommentierte scharf: "Kreditauskunftsdienste haben also aus der Bonify-Geschichte wirklich gar nix gelernt".

Diese Vorfälle werfen ein bedenkliches Licht auf den Umgang mit persönlichen Daten in Deutschland und fordern nicht nur Unternehmen, sondern auch Gesetzgeber heraus, dringend Maßnahmen zu ergreifen, um den Datenschutz zu stärken und das Vertrauen der Bürger wiederherzustellen. Es bleibt abzuwarten, welche Schritte Itsmydata und andere Unternehmen nach den jüngsten Enthüllungen ergreifen werden.